Edge for Private Cloud v4.18.05
אחרי שההתקנה תושלם, תוכלי לאפס את הסיסמאות של OpenLDAP, Apigee Edge, משתמש הארגון ב-Edge ואת הסיסמאות של Cassandra.
איפוס הסיסמה של OpenLDAP
בהתאם להגדרות שקבעת ב-Edge, ניתן להתקין את OpenLDAP בתור:
- מופע יחיד של OpenLDAP מותקן בצומת שרת הניהול. לדוגמה, בתצורה של 2 צמתים, 5 צמתים או 9 צמתים.
- מספר מכונות OpenLDAP שהותקנו בצמתים של שרת הניהול, שהוגדרו באמצעות שכפול OpenLDAP. לדוגמה, בתצורת Edge עם 12 צמתים.
- כמה מכונות OpenLDAP שהותקנו בצמתים שלהן, שהוגדרו באמצעות שכפול OpenLDAP. לדוגמה, בתצורת Edge עם 13 צמתים.
איפוס הסיסמה ל-OpenLDAP משתנה בהתאם להגדרה.
במופע יחיד של OpenLDAP שמותקן בשרת הניהול, מבצעים את הפעולות הבאות:
- בצומת של שרת הניהול, מריצים את הפקודה הבאה כדי ליצור את הסיסמה החדשה ל-OpenLDAP:
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o OLD_PASSWORD -n NEW_PASSWORD
- מריצים את הפקודה הבאה כדי לאחסן את הסיסמה החדשה לגישה דרך שרת הניהול:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p NEW_PASSWORD
פקודה זו מפעילה מחדש את שרת הניהול.
בהגדרת רפליקות של OpenLDAP כשמתקינים את OpenLDAP בצמתים של שרת הניהול, צריך לבצע את ההוראות שלמעלה בשני הצמתים של שרת הניהול כדי לעדכן את הסיסמה.
במסגרת הגדרת שכפול OpenLDAP כאשר OpenLDAP נמצא בצומת שאינו שרת הניהול, חשוב להקפיד לשנות קודם את הסיסמה בשני הצמתים של OpenLDAP ואז בשני הצמתים של שרת הניהול.
איפוס הסיסמה של אדמין המערכת
איפוס הסיסמה של מנהל המערכת מחייב לאפס את הסיסמה בשני מקומות:
- שרת ניהול
- UI
כדי לאפס את הסיסמה של מנהל המערכת:
- בצומת ממשק המשתמש, מפסיקים את ממשק המשתמש של Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
- בשרת הניהול, מריצים את הפקודה הבאה כדי לאפס את הסיסמה:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW
- עורכים את קובץ התצורה השקט שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge כדי להגדיר את המאפיינים הבאים:
APIGEE_ADMINPW=NEW_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y SMTPMAILFROM="My Company <myco@company.com>"
שימו לב שצריך לכלול את מאפייני ה-SMTP כשמעבירים את הסיסמה החדשה, כי כל המאפיינים בממשק המשתמש מתאפסים.
- השתמש בכלי העזר
apigee-setup
כדי לאפס את הסיסמה בממשק המשתמש של Edge מקובץ התצורה:/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
- (רק אם TLS מופעל בממשק המשתמש) הפעל מחדש את ה-TLS בממשק המשתמש של Edge כפי שמתואר בהגדרת TLS עבור ממשק המשתמש לניהול.
בסביבה של יצירת רפליקציית OpenLDAP עם כמה שרתי ניהול, איפוס הסיסמה בשרת ניהול אחד יוביל לעדכון אוטומטי של שרת הניהול השני. עם זאת, צריך לעדכן את כל הצמתים של ממשק המשתמש של Edge בנפרד.
איפוס סיסמת המשתמש בארגון
כדי לאפס את הסיסמה של משתמש בארגון, צריך להשתמש בכלי השירות apigee-service
כדי להפעיל את apigee-setup
:
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
למשל:
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p Foo12345 -a admin@myCo.com -P adminPword
למטה מוצג קובץ תצורה לדוגמה שבו ניתן להשתמש עם האפשרות " -f":
USER_NAME= user@myCo.com USER_PWD="Foo12345" APIGEE_ADMINPW=ADMIN_PASSWORD
אפשר גם להשתמש ב-Update user API כדי לשנות את הסיסמה של המשתמש.
כללים לסיסמאות משתמשים ב-SysAdmin ובארגון
בקטע הזה אפשר לאכוף את הרמה הרצויה של אורך וחוזק הסיסמה עבור המשתמשים בניהול ה-API. ההגדרות משתמשות בסדרה של ביטויים רגולריים שהוגדרו מראש (עם מספרים ייחודיים) כדי לבדוק את תוכן הסיסמה (כמו אותיות רישיות, קטנות, מספרים ותווים
מיוחדים). כותבים את ההגדרות האלה בקובץ /opt/apigee/customer/application/management-server.properties
. אם הקובץ לא קיים, יוצרים אותו.
לאחר העריכה של management-server.properties
, יש להפעיל מחדש את שרת הניהול:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
לאחר מכן אפשר להגדיר דירוגים של חוזק הסיסמה על ידי קיבוץ שילובים שונים של ביטויים רגולריים. לדוגמה, אפשר לקבוע שסיסמה שיש בה לפחות אות גדולה אחת ואות קטנה אחת מקבלת דירוג חוזק של 3, אבל סיסמה שיש בה לפחות אות קטנה אחת ומספר אחד מקבלת דירוג גבוה יותר של 4.
מאפיין (property) | תיאור |
---|---|
conf_security_password.validation.minimum.password.length=8 conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum.rating.required=3 |
השתמש בהם כדי לקבוע את המאפיינים הכוללים של סיסמאות חוקיות. הדירוג המינימלי שמוגדר כברירת מחדל לחוזק הסיסמה (מתואר בהמשך בטבלה) הוא 3. הערה: הערך של password. validation.default.rating=2 נמוך מהדירוג המינימלי הנדרש. כלומר, אם הסיסמה שהזנתם לא תואמת לכללים שהגדרתם, הסיסמה מסווגת כ-2 ולכן היא לא חוקית (פחות מהדירוג המינימלי 3). |
בהמשך מופיעים ביטויים רגולריים שמזהים מאפייני סיסמה. חשוב לזכור שכל אחד מהם ממוספר. לדוגמה, |
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1: כל התווים חוזרים |
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2: לפחות אות קטנה אחת |
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3: לפחות אות גדולה אחת |
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4: ספרה אחת לפחות |
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5: לפחות תו מיוחד אחד (לא כולל קו תחתון _) |
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6: קו תחתון אחד לפחות |
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$ |
7: יותר באות קטנה אחת |
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$ |
8: יותר מאות גדולה אחת |
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$ |
9: יותר מספרה אחת |
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$ |
10: יותר מתו מיוחד אחד (לא כולל קו תחתון) |
conf_security_password.validation.regex.11=^.*[_]{2,}.*$ |
11: יותר מקו תחתון אחד |
הכללים הבאים קובעים את חוזק הסיסמה על סמך תוכן הסיסמה. כל כלל כולל ביטוי רגולרי אחד או יותר מהקטע הקודם ומקצה לו חוזק מספרי. כדי לקבוע אם הסיסמה תקפה או לא, מוצגת השוואה בין החוזק המספרי של הסיסמה לבין conf_security_password. validation.minimum.rating.rating.rating.rate. בחלק העליון של הקובץ . |
|
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3 |
כל כלל ממוספר. לדוגמה,
כל כלל משתמש בפורמט הבא (מימין לסימן השוויון): regex-index-list,[AND|OR],rating regex-index-list הוא רשימת הביטויים הרגולריים (לפי מספר מהקטע הקודם), יחד עם אופרטור rating הוא הדירוג המספרי של העוצמה שניתן לכל כלל. לדוגמה, המשמעות של כלל 5 היא שכל סיסמה עם לפחות תו מיוחד אחד או קו תחתון אחד
מקבלת דירוג חוזק של 4. כאשר |
conf_security_rbac.password.validation.enabled=true |
יש להגדיר את אימות הסיסמה של בקרת גישה מבוססת-תפקידים ל-False כשכניסה יחידה (SSO) מופעלת. ברירת המחדל היא True. |
איפוס הסיסמה של Cassandra
כברירת מחדל, Cassandra שולחת מוצרים כשהאימות מושבת. אם מפעילים את האימות, הוא
משתמש במשתמש שהוגדר מראש בשם "cassandra", עם הסיסמה "cassandra". אפשר להשתמש בחשבון הזה,
להגדיר סיסמה אחרת לחשבון הזה או ליצור משתמש חדש ב-Cassandra. אפשר להוסיף, להסיר
ולשנות משתמשים באמצעות ההצהרות של CREATE/ALTER/DROP USER
של Cassandra.
מידע על הפעלת האימות של Cassandra זמין במאמר הפעלת אימות של Cassandra.
כדי לאפס את הסיסמה של Cassandra, צריך:
- הגדרת הסיסמה לכל צומת של Cassandra, והיא תשודר לכל צומתי Cassandra בטבעת
- יש לעדכן את הסיסמה החדשה בכל צומת: שרת הניהול, מעבדי הודעות, נתבים, שרתי Qpid ושרתי Postgres
מידע נוסף זמין בכתובת http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.
כדי לאפס את הסיסמה של Cassandra:
- מתחברים לכל צומת של Cassandra באמצעות הכלי
cqlsh
ופרטי הכניסה שמוגדרים כברירת מחדל. צריך לשנות רק את הסיסמה בצומת Cassandra אחת, והיא תשודר לכל צומתי Cassandra בטבעת:/opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
כאשר:
cassIP
היא כתובת ה-IP של הצומת של Cassandra.9042
הוא נמל קסנדרה.- משתמש ברירת המחדל הוא
cassandra
. - סיסמת ברירת המחדל היא
cassandra
. אם שינית את הסיסמה בעבר, עליך להשתמש בסיסמה הנוכחית.
- מריצים את הפקודה הבאה בתור ההודעה
cqlsh>
כדי לעדכן את הסיסמה:ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
אם הסיסמה החדשה מכילה תו גרש יחיד, יש לסמן אותה בתו בריחה (escape) לפניה בתו גרש יחיד.
- יוצאים מהכלי
cqlsh
:exit
- בצומת של שרת הניהול, מריצים את הפקודה הבאה:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD
אתם יכולים גם להעביר קובץ לפקודה שמכילה את שם המשתמש והסיסמה החדשים:
apigee-service edge-management-server store_cassandra_credentials -f configFile
כאשר configFile מכיל את:
CASS_USERNAME=CASS_USERNAME CASS_PASSWORD=CASS_PASSWROD
פקודה זו מפעילה מחדש באופן אוטומטי את שרת הניהול.
- חוזרים על שלב 4:
- כל מעבדי ההודעות
- כל הנתבים
- כל שרתי Qpid (edge-qpid-server)
- שרתי Postgres (edge-postgres-server)
הסיסמה של Cassandra שונתה.
איפוס הסיסמה של PostgreSQL
כברירת מחדל, במסד הנתונים של PostgreSQL מוגדרים שני משתמשים: 'postgres' ו-'apigee'. לשני המשתמשים יש סיסמת ברירת מחדל "postgres". כדי לשנות את סיסמת ברירת המחדל, מבצעים את הפעולות הבאות.
שינוי הסיסמה בכל הצמתים הראשיים של Postgres. אם יש לך שני שרתי Postgres שהוגדרו במצב המתנה/מאסטר, עליך לשנות את הסיסמה רק בצומת הראשי. מידע נוסף מופיע במאמר הגדרה של רפליקציית Master-Standby ל-Postgres.
- בצומת Master Postgres, משנים את הספריות ל-
/opt/apigee/apigee-postgresql/pgsql/bin
. - מגדירים את סיסמת המשתמש PostgreSQL מסוג 'postgres':
- מתחברים למסד הנתונים של PostgreSQL באמצעות הפקודה:
psql -h localhost -d apigee -U postgres
- כשתוצג בקשה, מזינים את סיסמת המשתמש Postgres כ-"postgres".
- בשורת הפקודה של PostgreSQL, מזינים את הפקודה הבאה כדי לשנות את סיסמת ברירת המחדל:
ALTER USER postgres WITH PASSWORD 'apigee1234';
- יוצאים ממסד הנתונים של PostgreSQL באמצעות הפקודה:
\q
- מתחברים למסד הנתונים של PostgreSQL באמצעות הפקודה:
- מגדירים את סיסמת המשתמש 'apigee' ב-PostgreSQL:
- מתחברים למסד הנתונים של PostgreSQL באמצעות הפקודה:
psql -h localhost -d apigee -U apigee
- כשתוצג הבקשה, יש להזין את סיסמת המשתמש "apigee" בתור "postgres".
- בשורת הפקודה של PostgreSQL, מזינים את הפקודה הבאה כדי לשנות את סיסמת ברירת המחדל:
ALTER USER apigee WITH PASSWORD 'NEW_PASSWORD';
- יוצאים ממסד הנתונים של PostgreSQL באמצעות הפקודה:
\q
- מתחברים למסד הנתונים של PostgreSQL באמצעות הפקודה:
- הגדרה של
APIGEE_HOME
:export APIGEE_HOME=/opt/apigee/edge-postgres-server
- הצפנת הסיסמה החדשה:
sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234
הפקודה הזאת מחזירה את הסיסמה המוצפנת כפי שמוצג בהמשך. הסיסמה המוצפנת מתחילה אחרי התו ":" ולא כוללת את ":".
Encrypted string:WheaR8U4OeMEM11erxA3Cw==
- מעדכנים בצומת של שרת הניהול את הסיסמאות המוצפנות החדשות למשתמשי 'postgres' ו-'apigee'.
- בשרת הניהול, משנים את הספרייה ל-
/opt/apigee/customer/application
. - עורכים את הקובץ
management-server.properties
כדי להגדיר את המאפיינים הבאים. אם הקובץ לא קיים, יוצרים אותו. - מוודאים שהקובץ נמצא בבעלות משתמש ה-API:
chown apigee:apigee management-server.properties
- בשרת הניהול, משנים את הספרייה ל-
- עדכן את כל הצמתים של שרת Postgres ו-Qpid בסיסמה המוצפנת החדשה.
- בשרת Postgres או בצומת שרת ה-Qpid, משנים את הספרייה ל-
/opt/apigee/customer/application
. - אפשר לערוך את הקבצים הבאים. אם הקבצים האלה לא קיימים, יוצרים אותם:
postgres-server.properties
qpid-server.properties
- מוסיפים את המאפיינים הבאים לקבצים:
- יש לוודא שהקבצים הם בבעלות משתמש ה-API:
chown apigee:apigee postgres-server.properties
chown apigee:apigee qpid-server.properties
- בשרת Postgres או בצומת שרת ה-Qpid, משנים את הספרייה ל-
- מפעילים מחדש את הרכיבים הבאים לפי הסדר:
- מסד נתונים PostgreSQL:
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
- שרת Qpid:
/opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
- שרת Postgres:
/opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
- שרת הניהול:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- מסד נתונים PostgreSQL: